OAuth を構成する

コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

アプリを公開する際、認証と認可のために主に次の 3 つのタスクを完了する必要があります。

1. OAuth 同意画面に入力します。
2. OAuth 2.0 認証情報を作成する。
3. OAuth 確認用にアプリを送信する。

OAuth スコープについて

アプリに付与されるアクセスレベルを定義するには、承認スコープを特定して宣言する必要があります。認可スコープは、Google Workspace アプリ名、アクセスするデータの種類、アクセスレベルを含む OAuth 2.0 URI 文字列です。スコープとは、ユーザーの Google アカウント データなど、Google Workspace データの操作に対するアプリのリクエストです。

アプリがインストールされると、アプリで使用されるスコープをユーザーが検証するよう求められます。通常は、できるだけ範囲の狭いスコープを選択し、アプリで必要のないスコープはリクエストしないようにします。ユーザーは、明確に説明された限定的なスコープに対してアクセス権限を付与する傾向があります。

アプリが必要とする OAuth スコープの完全なリストを指定します。各ロケーションに追加するスコープは一致している必要があり、次の方法で使用されます。

• OAuth 同意画面に追加されたスコープは、OAuth の確認に使用されます。

• Google Workspace Marketplace SDK に追加されたスコープは、Google Workspace Marketplace からアプリがインストールされたときに、ドメイン全体と個別のインストールでアプリを承認するために使用されます。

• マニフェストに追加されたスコープは、アプリが正常に機能するために必要です。

たとえば、Google スプレッドシート アドオンと Google ドキュメント アドオンを含むアプリを公開する場合、各アドオンの Google Apps Script マニフェストには、そのアドオンに固有のスコープのみが含まれます。Google Cloud プロジェクトの OAuth 同意画面と Marketplace SDK には、両方のアドオンのスコープが含まれています。

未確認の OAuth スコープを修正する

新しいアプリ、保存済みの下書き、公開されている公開アプリで、機密性の高いスコープまたは制限付きスコープが未確認の場合、Marketplace SDK でアプリを編集すると、次のエラー メッセージが表示されます。

OAuth verification is required for sensitive or restricted scopes. You can still save your app as a draft, but you're not able to publish your draft app listing.

詳細については、アプリに必要なアクセスレベルを指定するをご覧ください。

このエラーを回避するには、次の操作を行います。

• 未確認のデリケートなスコープまたは制限付きスコープを持つアプリの掲載情報に変更を加えて、掲載情報を下書きとして保存します。

• 未確認の機密性の高いスコープや制限付きスコープが新たに追加されなくなったら、アプリを公開します。

• 未確認の機密性の高いスコープや制限付きスコープのみを削除する場合は、アプリを公開します。

一部の回避策では、[未確認のアプリ] 画面が表示されることがあります。詳細については、未確認アプリをご覧ください。

このエラーを解決するには、アプリをOAuth 確認に送信します。

前提条件

• Cloud プロジェクトで課金を有効にする。

• アプリをビルドしてテストする。

• 認証と認可について学習する。

• Apps Script でアプリを作成した場合は、Apps Script プロジェクト用に Cloud プロジェクトを更新します。

1. OAuth 同意画面に入力する

OAuth 同意画面は、誰がデータへのアクセスをリクエストしているのかと、どのような種類のデータへのアクセスがアプリに許可されるのかをユーザーに示すプロンプトです。

1. Google Cloud コンソールで、メニュー menu > > [ブランディング] に移動します。

   [ブランディング] に移動

2. をすでに設定している場合は、[ブランディング]、[オーディエンス]、[データアクセス] で次の OAuth 同意画面の設定を構成できます。 [ まだ設定されていません] というメッセージが表示された場合は、[使ってみる] をクリックします。
1. [アプリ情報] の [アプリ名] に、アプリ名を入力します。
2. [ユーザー サポートメール] で、ユーザーが同意について問い合わせる際に使用するサポートのメールアドレスを選択します。
3. [続行] をクリックします。
4. [視聴者] で、アプリのユーザータイプを選択します。
5. [続行] をクリックします。
6. [連絡先情報] で、プロジェクトの変更に関する通知を受け取るメールアドレスを入力します。
7. [続行] をクリックします。
8. [完了] で Google API サービスのユーザーデータに関するポリシーを確認し、同意する場合は [Google API サービス: ユーザーデータに関するポリシーに同意します] を選択します。
9. [続行] をクリックします。
10. [作成] をクリックします。
11. ユーザータイプに [外部] を選択した場合は、テストユーザーを追加します。
    1. [オーディエンス] をクリックします。
    2. [テストユーザー] で [ユーザーを追加] をクリックします。
    3. メールアドレスと他の承認済みテストユーザーを入力し、[保存] をクリックします。

3. Google Workspace 組織外で使用するアプリを作成する場合は、[データ アクセス] > [スコープを追加または削除] をクリックします。スコープを選択する際は、次のベスト プラクティスをおすすめします。

   • アプリに必要な最小レベルのアクセス権を提供するスコープを選択します。使用可能なスコープの一覧については、Google API の OAuth 2.0 スコープをご覧ください。
   • [非機密のスコープ]、[機密のスコープ]、[制限付きスコープ] の 3 つのセクションに表示されているスコープを確認します。[機密性の高いスコープ] または [制限付きスコープ] セクションに表示されているスコープについては、機密性のない代替のスコープを特定して、不要な追加審査を回避してください。
   • スコープによっては、Google による追加の審査が必要になる場合があります。Google Workspace 組織内でのみ使用されるアプリの場合、スコープは同意画面に表示されず、制限付きスコープまたは機密スコープを使用する場合でも、Google による追加の審査は必要ありません。詳細については、スコープ カテゴリをご覧ください。
4. アプリに必要なスコープを選択したら、[保存] をクリックします。

OAuth 同意の構成の詳細については、 のスタートガイドをご覧ください。

2. OAuth 2.0 認証情報を作成する

アプリの作成方法に応じて、OAuth 2.0 認証情報を作成する方法は 2 つあります。

Apps Script でアプリを作成した場合

Apps Script プロジェクトをデフォルトの Cloud プロジェクトから新しい標準プロジェクトに切り替えます。詳細については、別の標準 Cloud プロジェクトに切り替えるをご覧ください。

Apps Script プロジェクトを Cloud プロジェクトに関連付けると、OAuth 2.0 認証情報が自動的に作成されます。

Apps Script を使用してアプリをビルドしなかった場合

OAuth 2.0 認証情報を作成するには、OAuth クライアント ID 認証情報をご覧ください。

3. OAuth の確認を送信する（公開アプリのみ）

アプリが Google API を使用して Google ユーザーデータにアクセスする場合は、アプリを公開する前に確認プロセスを受けることがあります。

送信する前に、次の点をご確認ください

このページの手順 1 と 2 は完了できますが、このプロセスと同時に行う必要があるマーケットプレイス公開の手順を完了するまで、OAuth の確認のためにアプリを送信できない場合があります。

たとえば、Google Classroom アドオンを作成するには、Google Workspace Marketplace SDK でアプリを構成する の手順に沿って、Marketplace SDK でアプリの下書きリスティングを作成する必要があります。その後、アプリの下書きのリスティングを使用して、OAuth の確認に必要なデモ動画を作成できます。確認が完了したら、アプリの下書きのリスティングを送信してアプリの審査を受けることができます。

送信手順の概要については、アプリを公開するをご覧ください。

OAuth 検証の審査

アプリで機密性の高いスコープや制限付きスコープを使用している場合は、OAuth 確認審査プロセスを受ける必要があります。

• OAuth の確認では、リクエストされたスコープまたはデータの使用をユーザーに説明するフローまたはジャーニーを示すデモ動画を送信する必要があります。詳細については、デモ動画をご覧ください。

• アプリで制限付きスコープを使用している場合は、セキュリティ評価を受ける必要が生じることもあります。

• 詳しくは、OAuth アプリの確認に関するヘルプセンター記事をご覧ください。

確認を送信する手順は次のとおりです。

1. Google Cloud コンソールで、メニュー menu > [API とサービス] > [OAuth 同意画面] に移動します。

   OAuth 同意画面に移動

2. [プロジェクト セレクタ] をクリックして、プロジェクトを選択します。
3. [アプリを編集] をクリックします。
4. 必要な情報を入力し、[確認のため送信] をクリックします。
5. [確認が必要] ダイアログで適切な理由を入力し、[送信] をクリックして確認プロセスを開始します。

機密性の高いスコープや制限付きのスコープを使用するようにアプリを更新した場合は、OAuth 検証のためにアプリを再度送信する必要があります。アプリの審査のために再度送信する必要はありません。

OAuth の確認とアプリの審査の違い

OAuth の検証は、アプリの審査とは別のプロセスです。同意画面がアプリの ID と目的を正確に表し、アプリがユーザーデータを不正使用していないことを確認することに重点を置いています。アプリの OAuth 確認が完了するまで、アプリのリスティングは承認されません。OAuth の確認の詳細については、OAuth に関するよくある質問をご覧ください。

アプリ審査では、 Google Workspace Marketplace SDK で提供された情報、アプリの機能とユーザビリティに重点が置かれます。アプリ審査の基準について詳しくは、Google Workspace Marketplace のアプリ審査プロセスと要件をご覧ください。

関連トピック

• OAuth 同意画面を設定し、スコープを選択する
• アプリが審査に合格しない一般的な理由